我正在为使用Rails 5的移动应用程序创建一个API。目前,我不需要三脚授权,因为API只会被我们自己的移动应用。使用OAuth密码凭证授予优惠令牌访问身份验证
我想选择这两个选项之一:
- 守门人+设计:我可以使用看门实施的OAuth 2.0,但我将只使用密码凭据格兰特,至少现在。
- Rails自己的
ActionController::HttpAuthentication::Token
模块+设计:这似乎是更简单的方法。
老实说,我看不出Token Access Authentication方法和OAuth 2.0's Password Credentials Grant之间的区别。
如何选择一个而不是另一个?是否还有其他选择需要考虑?
这就是我的想法。您是否碰巧有任何源代码解释了HTTP令牌身份验证和OAuth 2.0密码凭据授权之间没有什么实用区别? – hattenn
实际上,这是一种常识:您可以将sam方式中的'HTTP Token'想象为“Username:Password”的组合,在这两种情况下,客户端都必须在请求之间保留它们并将它们发送每个请求。因为它们不会过期,所以你永远不会知道是否有其他人盗用了它并一路使用它。 另一方面,这可以通过授权代码授权轻松检测,授权代码授权比以前任何授权代码更安全。也许你会在这里找到一些有趣的东西:http://softwareengineering.stackexchange.com/a/297997/238916 –
我明白,但我并不是在谈论授权授予,我只是在谈论密码凭证授予与令牌访问认证。 – hattenn